Sé que estos son temas importantes, pero solo tengo varias preguntas que deseo aclarar.
P1) ¿Los dominios de Internet DNS y los dominios de directorio activo se refieren a lo mismo o están relacionados?
La razón para preguntar lo anterior es que si tengo 2 oficinas pequeñas en redes separadas y compré 2 nombres de dominio diferentes debido a su diferente naturaleza comercial.
p.ej
company1.com -- office 1
company2.com -- office 2
Quería que cada oficina tuviera su propio DC pero compartiría la misma base de datos de AD.
dc1.company1.com
dc1.company2.com
¿Pueden las estaciones de trabajo de ambas redes unirse al mismo dominio de directorio activo a pesar de tener diferentes nombres de dominio de red (empresa1.com, empresa2.com)?
workstations in office 1 ---> dc1.company1.com ==\
--- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/
Por lo tanto, volvamos a la pregunta original: ¿el dominio de Internet y el dominio del directorio activo se refieren a lo mismo? ¿Son solo nombres lógicos para agrupar cosas?
Saludos, novato
Respuesta1
Me sorprende que nadie haya respondido a tu pregunta.
Con respecto al vínculo entre los nombres de dominio del directorio activo y el espacio de nombres de dominio que usted compra a una empresa de alojamiento web, sí, los dos están relacionados. Son simplemente nombres lógicos para agrupar cosas, pero con AD también puedes usar un espacio de nombre de dominio que no está disponible públicamente para su uso. Por ejemplo, servidor.local.
Los nombres de host de dispositivos de red que terminan en .local a menudo se emplean en redes privadas, donde se resuelven a través del servicio de nombres de dominio de multidifusión (mDNS) o servidores locales del sistema de nombres de dominio (DNS). Sin embargo, la implementación de ambos enfoques en la misma red puede ser problemática, por lo que resolver dichos nombres a través de servidores DNS de “unidifusión” ha caído en desuso a medida que las computadoras, impresoras y otros dispositivos que admiten redes de configuración cero (zeroconf) se han vuelto cada vez más comunes.
El IETF ha designado que el espacio de nombres .local no esté disponible para su compra y solo se utilice para redes de área local. Entonces, la principal diferencia entre los nombres de dominio en AD y los nombres de dominio en la Internet pública es que no necesariamente se puede acceder a los nombres de dominio de AD mediante el nombre de host a través de la Internet pública. Es posible utilizar un nombre de host accesible desde Internet (como planea hacer), pero no es obligatorio (y a veces incluso está mal visto)
En resumen, sí, es posible tener dos espacios de nombres de dominio separados (empresa1.com, empresa2.com) y vincularlos a través de un enlace WAN.
La relación entre los dos dominios es lo que se llama confianza transitiva. Lo que sigue es de TechNet y aunque la información se refiere a cómo funciona Server 2003, los mismos principios se aplican a Server 2012.
De Microsoft:
La transitividad determina si un fideicomiso se puede extender fuera de los dos dominios con los que se formó. Se puede utilizar una confianza transitiva para ampliar las relaciones de confianza con otros dominios; Se puede utilizar una confianza no transitiva para negar relaciones de confianza con otros dominios.
Cada vez que crea un nuevo dominio en un bosque, se crea automáticamente una relación de confianza transitiva bidireccional entre el nuevo dominio y su dominio principal. Si se agregan dominios secundarios al nuevo dominio, la ruta de confianza fluye hacia arriba a través de la jerarquía del dominio, extendiendo la ruta de confianza inicial creada entre el nuevo dominio y su dominio principal. Las relaciones de confianza transitivas fluyen hacia arriba a través de un árbol de dominios a medida que se forma, creando confianzas transitivas entre todos los dominios del árbol de dominios.
Las solicitudes de autenticación siguen estas rutas de confianza, por lo que las cuentas de cualquier dominio del bosque pueden ser autenticadas por cualquier otro dominio del bosque. Con un proceso de inicio de sesión único, las cuentas con los permisos adecuados pueden acceder a los recursos en cualquier dominio del bosque. La siguiente figura muestra que todos los dominios en el Árbol 1 y el Árbol 2 tienen relaciones de confianza transitivas de forma predeterminada. Como resultado, los usuarios del Árbol 1 pueden acceder a los recursos de los dominios del Árbol 2 y los usuarios del Árbol 1 pueden acceder a los recursos del Árbol 2, cuando se asignan los permisos adecuados al recurso.
Además de las confianzas transitivas predeterminadas establecidas en un bosque de Windows Server 2003, mediante el Asistente para nueva confianza puede crear manualmente las siguientes confianzas transitivas. Confianza abreviada. Una confianza transitiva entre dominios en el mismo árbol o bosque de dominios que se utiliza para acortar la ruta de confianza en un árbol o bosque de dominios grande y complejo.
- Confianza forestal.Una confianza transitiva entre un dominio raíz del bosque y otro dominio raíz del bosque.
- confianza del reino. Una confianza transitiva entre un dominio de Active Directory y un dominio Kerberos V5.
Una confianza no transitiva está restringida a los dos dominios de la relación de confianza y no fluye a ningún otro dominio del bosque. Una confianza no transitiva puede ser una confianza bidireccional o unidireccional. Las confianzas no transitivas son unidireccionales de forma predeterminada, aunque también puede crear una relación bidireccional creando dos confianzas unidireccionales. Las confianzas de dominio no transitivas son la única forma de relación de confianza posible entre: Un dominio de Windows Server 2003 y un dominio de Windows NT.
Un dominio de Windows Server 2003 en un bosque y un dominio en otro bosque (cuando no están unidos por una confianza de bosque)
Al utilizar el Asistente para nueva confianza, puede crear manualmente las siguientes confianzas no transitivas:
- Confianza externa. Una confianza no transitiva creada entre un dominio de Windows Server 2003 y un dominio de Windows NT, Windows 2000 o Windows Server 2003 en otro bosque. Cuando actualiza un dominio de Windows NT a un dominio de Windows Server 2003, todas las confianzas de Windows NT existentes se conservan intactas. Todas las relaciones de confianza entre dominios de Windows Server 2003 y dominios de Windows NT no son transitivas.
- Confianza en el reino.Una confianza no transitiva entre un dominio de Active Directory y un dominio Kerberos V5.
Tipos de confianza Aunque todos los fideicomisos permiten el acceso autenticado a los recursos, los fideicomisos pueden tener diferentes características. Los tipos de dominios incluidos en la relación de confianza afectan el tipo de confianza que se crea. Por ejemplo, una confianza entre dos dominios secundarios en bosques diferentes es siempre una confianza externa, pero las confianzas entre dos dominios raíz del bosque de Windows Server 2003 pueden ser confianzas externas o confianzas de bosque.
Se crean automáticamente dos tipos de confianza cuando utiliza el Asistente de instalación de Active Directory. Se pueden crear manualmente otros cuatro tipos de confianza utilizando el Asistente para nueva confianza o la herramienta de línea de comandos Netdom.
Fideicomisos automáticos De forma predeterminada, las confianzas transitivas bidireccionales se crean automáticamente cuando se agrega un nuevo dominio a un árbol de dominio o dominio raíz de bosque mediante el Asistente de instalación de Active Directory. Los dos tipos de confianza predeterminados son confianzas entre padres e hijos y confianzas de raíz de árbol.
Confianza entre padres e hijos Se establece una relación de confianza entre padres e hijos cada vez que se crea un nuevo dominio en un árbol. El proceso de instalación de Active Directory crea automáticamente una relación de confianza entre el nuevo dominio y el dominio que lo precede inmediatamente en la jerarquía del espacio de nombres (por ejemplo, corp.tailspintoys.com se crea como hijo de tailspintoys.com). La relación de confianza entre padres e hijos tiene las siguientes características: Sólo puede existir entre dos dominios en el mismo árbol y espacio de nombres.
El dominio secundario siempre confía en el dominio principal.
Debe ser transitivo y bidireccional. La naturaleza bidireccional de las relaciones de confianza transitivas permite que la información del directorio global en Active Directory se replique en toda la jerarquía.
Confianza desde la raíz del árbol Se establece una confianza de raíz de árbol cuando agrega un nuevo árbol de dominio a un bosque. El proceso de instalación de Active Directory crea automáticamente una relación de confianza entre el dominio que está creando (la nueva raíz del árbol) y el dominio raíz del bosque. Una relación de confianza árbol-raíz tiene las siguientes restricciones: Sólo puede establecerse entre las raíces de dos árboles en el mismo bosque.
Debe ser transitivo y bidireccional.
Fideicomisos manuales En Windows Server 2003 hay cuatro tipos de confianza que se deben crear manualmente: las confianzas de acceso directo se utilizan para la optimización entre árboles de dominio en el mismo bosque; Los fideicomisos externos, de dominio y de bosque ayudan a proporcionar interoperabilidad con dominios fuera del bosque, con otros bosques o con dominios. Estos tipos de confianza se deben crear mediante el Asistente para nueva confianza o la herramienta de línea de comandos Netdom.
Fideicomisos de acceso directo Las confianzas de acceso directo son confianzas transitivas unidireccionales o bidireccionales que se pueden utilizar cuando los administradores necesitan optimizar el proceso de autenticación. Las solicitudes de autenticación deben recorrer inicialmente una ruta de confianza entre árboles de dominio. Una ruta de confianza es la serie de relaciones de confianza de dominio que se deben atravesar para pasar solicitudes de autenticación entre dos dominios cualesquiera. En un bosque complejo, el tiempo necesario para recorrer la ruta de confianza puede afectar el rendimiento. Puede reducir significativamente este tiempo utilizando confianzas de acceso directo. Las confianzas de acceso directo aceleran los tiempos de inicio de sesión y acceso a los recursos en un dominio que se encuentra profundamente dentro de la jerarquía de otro árbol de dominio. La siguiente figura ilustra las relaciones de confianza entre dos árboles en un bosque de Windows Server 2003.
--recorte--
Para obtener más información, consulte los siguientes enlaces en TechNet